Ich glaube ich habe mich etwas unklar ausgedrückt. Also wir haben einige Entwickler und Softwaretester hier im Haus. Die Entwickler arbeiten mit einem Tool welches zwingend lokale Admin Rechte benötigt (warum auch immer) - diese sollen auf Ihren lokalen Systemen also Admin Rechte haben aber in der Domäne nur normale Benutzer. Die Softwaretester sollen auf den lokalen Systemen Hauptbenutzer sein, in der Domäne aber auch nur normale Benutzer. Und ich brauche Admin Rechte auf meine lokalen System und in der Domäne. (Mein normaler Account hat nur Benutzer Rechte und für die Admin Aufgaben habe ich einen zweiten) Mit reinen Windows Netzen kenne ich mich aus, auch globale und lokale Benutzergruppen sind mir klar, nur wie ich das in Samba umsetzen kann/soll weiss ich nicht, bei Samba stehe ich noch ganz am Anfang, deshalb brauche ich eure Hilfe. Gruß Markus Tobias Crefeld schrieb:

On Tue, 30 Jan 2007 18:04:19 +0100 Markus Spiller wrote:

...

Die Windows Clients können sich auch an die Domäne anmelden, Freigaben, Profile alles klappt.

Aber alle User haben nur Benutzer Rechte auf ihren Rechnern. Bei den meisten ist das auch gut so, aber einige müssen Hauptbenutzer bzw. Administratoren auch auf dem Client System sein.

Dann wirst Du globale Benutzergruppen für Hauptbenutzer und Administratoren kreiieren und diesen Rechte auf den betreffenden Client-PCs geben müssen. Natürlich haben dann alle Benutzer aus diesem Kreis administrativen Zugriff auf alle Rechner untereinander. Alternativ machst Du das auf pro-Domänen-Benutzer-Basis.

Inwieweit man tatsächlich lokale Administratorrechte auf seinem Normal-Benutzerkonto braucht, könnte man mal sicherheitstechnisch diskutieren. In der Regel wird man es bevorzugen, lokale eigene Administratorkonten einzurichten, die die betreffenden User dann bei Bedarf explizit benutzen, wenn etwas administratives ansteht. Ansonsten soll es ja seit WinXP in aller Regel nicht mehr nötig sein, mit administrativen Rechten auf ner Mickymaus-Büchse zu arbeiten und bei ausreichend Speicher kann man sogar mehrere Sitzungen parallel betreiben. Bis Win2k war das wohl noch anders.

...

Bzw. welche Gruppen muß ich unter Samba noch einrichten? Lokal auf den Windows Systemen existieren die Domäin User ja nicht.

Nur mal vorsichtshalber: Kennst Du das Konzept von globalen (= domänenweiten) und lokalen Benutzergruppen und welche Strategie MS beim Aufbau einer Domäne empfiehlt?

-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Und genau da war ich einem Irrtum aufgesessen. Ich weiß zwar wie ich einen Domänenbenutzer lokal erweiterte Rechte geben kann, ABER ich wollte das zentral in Samba konfigurieren. Ich wollte das über das Gruppenmapping in Samba machen. z.B. Windowsgruppe Hauptbenutzter wird in Samba auf eine Unix Gruppe hauptnutzer mit der RID 547 gemappt. Jeder User der der Unix Gruppe hauptbenutzer angehört gehört auch der Windowsgruppe Hauptbenutzer an und hat auf dem Windows Rechner die gleichen Rechte wie ein lokaler Windows Hauptbenutzer. So hatte ich zumindest das Gruppen mapping in Samba verstanden. Geht das wirklich nicht oder habe ich noch einen weiteren Gedankenfehler Markus Tobias Crefeld schrieb:

Das hat nichts mit Samba zu tun. Du willst Domänenbenutzern erweiterte Zugriffsrechte auf den lokalen Stationen erlauben. Das kann entweder über Rechtevergabe an Domänenbenutzer oder über Rechtevergabe an Domänengruppen erfolgen. Je nach organisatorischer Rechnerzuordnung im jeweiligen Betrieb. Natürlich erfolgt auch hier die Rechtevergabe am jeweiligen Serversystem, also hier an den Desktop-PCs - das ist reine MS-Funktionalität und damit kennst Du Dich ja aus.

-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Am Donnerstag, 1. Februar 2007 16:49 schrieb Markus Spiller:

Und genau da war ich einem Irrtum aufgesessen.

Ich weiß zwar wie ich einen Domänenbenutzer lokal erweiterte Rechte geben kann, ABER ich wollte das zentral in Samba konfigurieren.

Ich wollte das über das Gruppenmapping in Samba machen. z.B. Windowsgruppe Hauptbenutzter wird in Samba auf eine Unix Gruppe hauptnutzer mit der RID 547 gemappt. Jeder User der der Unix Gruppe hauptbenutzer angehört gehört auch der Windowsgruppe Hauptbenutzer an und hat auf dem Windows Rechner die gleichen Rechte wie ein lokaler Windows Hauptbenutzer.

So hatte ich zumindest das Gruppen mapping in Samba verstanden. Geht das wirklich nicht oder habe ich noch einen weiteren Gedankenfehler

Wenn ich Dich (und Deine vorherigen Ausführungen) richtig verstehe, soll der user an _seinem_ Rechner Administrator, Hauptbenutzer oder Benutzer sein. An allen andern Rechnern soll er Benutzer sein. Wie soll das denn entschieden werden, außer durch lokale Rechtevergabe auf dem Client. Das bekommst Du zentralisiert auch nicht in einem reinen Windowsnetzwerk (NT4 Domäne oder AD) ohne explizite Konfiguration auf dem Client hin. PS. Bitte keine TOFU http://www.afaik.de/usenet/faq/zitieren/zitieren-2.php3#ss2.3 Grüße Ralf -- Antworten bitte nur in die Mailingliste! PMs bitte an: listreply (@) arndt-on-line (.) de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Hallo Markus, Markus Spiller schrieb:

Ich glaube ich habe mich etwas unklar ausgedrückt.

Also wir haben einige Entwickler und Softwaretester hier im Haus. Die Entwickler arbeiten mit einem Tool welches zwingend lokale Admin Rechte benötigt (warum auch immer) - diese sollen auf Ihren lokalen Systemen also Admin Rechte haben aber in der Domäne nur normale Benutzer.

Die Softwaretester sollen auf den lokalen Systemen Hauptbenutzer sein, in der Domäne aber auch nur normale Benutzer.

Und ich brauche Admin Rechte auf meine lokalen System und in der Domäne. (Mein normaler Account hat nur Benutzer Rechte und für die Admin Aufgaben habe ich einen zweiten)

Mit reinen Windows Netzen kenne ich mich aus, auch globale und lokale Benutzergruppen sind mir klar, nur wie ich das in Samba umsetzen kann/soll weiss ich nicht, bei Samba stehe ich noch ganz am Anfang, deshalb brauche ich eure Hilfe.

Schau mal hier, das dürfte genau das sein was du brauchst, http://de.samba.org/samba/docs/man/Samba-HOWTO-Collection/NetCommand.html#id... Stichwort "Managing Nest Groups on Workstations from the Samba Server" Ich hab das mal ausprobiert, es funktioniert recht gut. Mich persönlich ärgert die Herumfrickelei bei einem Samba-Server auch, da ich beispielsweise auch gerne für meinen Benutzeraccount Adminrechte haben möchte, da es ja nach wie vor damit nicht vernünftig unter XP arbeiten lässt (ist meine persönliche Meinung) Ich hab hier zwar keinen PDC, habe aber mal damit herumprobiert, da ich nach einem Weg suche, das Samba Benutzerkennwort von Windows aus verändern zu können. Vielleicht kennt ja jemand da eine komfortable Lösung, ich hab noch keine finden können. Gruß Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org